Gdy umowa kredytowa dobiega końca, bank ma prawo przetwarzać dane klienta, który zalega z płatnościami, pod warunkiem, że wcześniej skutecznie go o tym poinformuje i poczeka 30 dni. Naczelny Sąd Administracyjny potwierdził taką interpretację art. 105a ust. 3 Prawa bankowego.

Ujawnienie danych osobowych niezwiązanych z pełnieniem funkcji publicznej bez odpowiedniej podstawy przetwarzania było przyczyną nałożenia kary UODO na Polskie Radio Szczecin w wysokości ponad 56 tys. zł. Sprawa dotyczyła ujawnienia danych osobowych syna posłanki i braku procedur chroniących prawa bohaterów publikacji radiowych.

Kierowca autobusu, który żąda od pasażera podawania danych osobowych w postaci imienia i nazwiska, przetwarza dane osobowe. Przetwarzanie to musi być oparte na jednej z podstaw wynikających z RODO. Stanowisko to przedstawił Naczelny Sąd Administracyjny.

Bank nie może dalej przetwarzać danych osoby, która składała wniosek kredytowy, jeśli odmówiono jej udzielenia kredytu. Stanowisko to potwierdził Naczelny Sąd Administracyjny w wyroku z 13 lutego 2025 r. III OSK 6563/21.

Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę, podtrzymując stanowisko Prezesa UODO. Dotyczyło ono braku podstawy przetwarzania danych osobowych naukowców dotyczących szczepień przeciwko COVID-19 przez Centrum e-Zdrowia.

NSA podtrzymał administracyjną karę pieniężną wymierzoną Szkolne Głównej Gospodarstwa Wiejskiego za naruszenie ochrony danych, które doprowadziło do wycieku danych kandydatów na studia. W ocenie NSA uczelnia nie mogła zasłaniać się błędem pracownika.

Prezes Urzędu Ochrony Danych Osobowych nałożył dwie administracyjne kary pieniężne na Centrum Medyczne Ujastek Sp. z o.o. z Krakowa o łącznej wysokości 1 145 891,25 zł za zamontowanie kamer monitoringu wizyjnej w dwóch salach oddziału neonatologii niezgodnie z przepisami. Placówce medycznej zarzucono również brak zastosowania odpowiednich technicznych i organizacyjnych środków adekwatnych do ryzyka związanego z przetwarzaniem danych osobowych na kartach pamięci znajdujących się w tych urządzeniach. Szczegóły sprawy w artykule.

W wyroku z dnia 28 stycznia 2025 roku, Naczelny Sąd Administracyjny przyznał rację Prezesowi UODO, uznając, że numery ksiąg wieczystych stanowią dane osobowe, ponieważ umożliwiają identyfikację właścicieli nieruchomości. Orzeczenie to kończy kilkuletni spór w tej sprawie pomiędzy Prezesem Urzędu Ochrony Danych Osobowych a byłym Głównym Geodetą Kraju powstały w związku z ujawnianiem w serwisie Geoportal2 numerów ksiąg wieczystych. Jednocześnie podtrzymuje karę pieniężną w wysokości 100 tys. zł., jaką Prezes UODO nałożył w 2020 r. na GGK.

Jak wskazuje Prezes Urzędu Ochrony Danych Osobowych, jeden z banków nie zapewnił warunków, w których inspektor danych osobowych nie mógł działać w pełni niezależnie. W związku z tym PUODO nałożył karę w wysokości 261 918 zł. Dodatkowo, za zaniechanie uwzględnienia profilowania w rejestrze czynności przetwarzania danych oraz przy ocenie skutków dla ochrony danych, na bank nałożono karę w wysokości 314 302 zł.

Bank nie może przetwarzać danych osobowych na zapas, tj. na wypadek ewentualnych przyszłych roszczeń ze strony byłego klienta. W ten sposób bank narusza podstawowe zasady minimalizacji i ograniczenia celu przetwarzania. Stanowisko to potwierdził Naczelny Sąd Administracyjny w sprawie dotyczącej Banku Millennium.

Błędy organizacyjne przy przebudowie strony WWW mogą prowadzić do wycieku danych osobowych. Rolą administratora jest uwzględnienie tego ryzyka i wdrożenie odpowiednich środków bezpieczeństwa danych osobowych. W ocenie Prezesa UODO obowiązku tego nie wypełniła spółka Panek, stąd kara pieniężna w wysokości ponad 1,5 mln zł. Ukarany został także procesor świadczący na rzecz spółki usługi IT.

Nieprawidłowości w zakresie analizy ryzyka RODO i środków bezpieczeństwa danych nie zwalniają z odpowiedzialności za naruszenie ochrony danych, nawet jeśli jego współprzyczyną był błąd pracownika. Na stanowisku takim stanął Wojewódzki Sąd Administracyjny w Warszawie, oddalając skargę Szkoły Głównej Handlowej w Warszawie na decyzję w sprawie kary w wysokości 35 tys. zł.

Zakaz wyświetlania fałszywych reklam (deepfake) na Facebooku i Instagramie podtrzymany przez Wojewódzki Sąd Administracyjny w Warszawie. Zażalenie Meta – właściciela portali społecznościowych - zostało oddalone. Poniżej przybliżamy kulisy rozstrzygnięcia sądu.

Omyłkowe udostępnienie dokumentacji medycznej nieuprawnionej osobie może rodzić ryzyko naruszenia praw lub wolności pacjenta. Niezgłoszenie takiego naruszenia ochrony danych z dużym prawdopodobieństwem skończy się karą pieniężną, o czym zresztą przekonał się jeden ze szpitali.

Firma kurierska Posti z Finlandii zapłaci 2,4 mln euro za praktyki niezgodne z RODO w związku z usługą elektronicznej skrzynki pocztowej. Spółka przetwarzała dane osobowe w ramach usługi elektronicznej bez podstawy prawnej i nie wykonując w pełni obowiązku informacyjnego. Naruszyła także regułę privacy by default.